"Considerando a complexidade e a frequência de deploys em ambientes de microsserviços, e a necessidade de minimizar downtime e erros humanos, desenvolva um pipeline de CI/CD em YAML (ou formato similar para uma ferramenta como GitLab CI/CD, Jenkins X, ou Azure DevOps Pipelines) que automatize o deploy de uma aplicação web stateless em um cluster Kubernetes. O pipeline deve incluir as seguintes etapas e funcionalidades, com foco em segurança, resiliência e observabilidade:

1.  **Gatilho:** Início automático em push para a branch `main` no repositório Git, e também um gatilho manual para hotfixes ou rollbacks.
2.  **Testes de Unidade e Integração:** Execução de testes automatizados com cobertura mínima de 80%. Falha nos testes deve impedir o prosseguimento do pipeline.
3.  **Análise Estática de Código (SAST):** Integração com uma ferramenta como SonarQube ou Snyk para identificar vulnerabilidades e problemas de qualidade no código. Falhas críticas devem bloquear o deploy.
4.  **Construção da Imagem Docker:** Criação de uma imagem Docker otimizada e com base em uma imagem mínima (ex: Alpine, distroless), seguindo as melhores práticas de segurança (ex: multi-stage builds, non-root user). A imagem deve ser versionada com o commit SHA e um timestamp.
5.  **Varredura de Vulnerabilidades da Imagem (DAST/Container Scanning):** Utilização de ferramentas como Trivy ou Clair para escanear a imagem Docker por vulnerabilidades conhecidas antes do push para o registry. Vulnerabilidades de alta severidade devem impedir o deploy.
6.  **Push para Registry Privado:** Armazenamento da imagem Docker em um Container Registry privado e seguro (ex: Google Container Registry, Azure Container Registry, JFrog Artifactory).
7.  **Geração de Artefatos de Deploy (Helm Chart):** Criação ou atualização de um Helm Chart para a aplicação, parametrizando configurações específicas de ambiente (dev, staging, prod) e recursos (CPU, memória, réplicas).
8.  **Deploy Blue/Green ou Canary (para ambiente de Staging):** Implementação de uma estratégia de deploy que permita a validação da nova versão em um ambiente de Staging sem impacto nos usuários